Palestra - Segurança de Operações

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

SeguranSegurançça de a de operaoperaççõesões

Março de 2010


Termo de IsenTermo de Isençção de Responsabilidadeão de Responsabilidade

A TI Safe, seus colaboradores e executivos, não se

responsabilizam pelo mau uso das informações aqui prestadas.

Aproveite esta apresentação para ampliar seus conhecimentos em

Segurança da Informação.


Sobre a TI SafeSobre a TI Safe

Missão– Fornecer produtos e

serviços de qualidade para a Segurança da Informação

Visão– Ser referência de

excelência em serviços de Segurança da Informação

Equipe técnica altamente qualificada

Apoio de grandes marcas do mercado


Não precisa copiar...Não precisa copiar...

http://www.tisafe.com/recursos/palestras/


AgendaAgenda

• Conceitos• Estabelecimento de controles• Assegurando operações• Gerenciamento de Incidentes• Implantação de CSIRTS• Práticas• Conclusão• Revisão de conhecimentos• Referências


ConceitosConceitos

Segurança de operações: É o processo de salvaguarda dos bens de informação enquanto o dado estiver residente no computador, mídia de armazenamento ou em trânsito através de links de comunicação, ou de alguma forma associado com o processamento de dados do ambiente.

• Identifica os controles sobre Hardware, Mídia e os operadores e administradorescom privilégios de acesso a estesrecursos.


ConceitosConceitos

O Administrador de segurança deve ser capaz de:

• Identificar eventos históricos e em tempo real

• Capturar ações subsequentes

• Identificar os elementos chave envolvidos

• Alertar as autoridades apropriadas

• Tomar atitudes corretivas ou de recuperação apropriadas


Requerimentos para proteRequerimentos para proteçção da informaão da informaççãoão

Operações de processamento de dados tem tradicionalmente sido associados primariamente com a manutenção da disponibilidade de sistemas para grupos de usuários.

Entretanto, segurança de operações envolve não apenas disponibilidade mas também integridade e confidencialidade.

Processos e arquivos não são úteis sem que um nível aceitável de integridade seja mantido, e os operadores/administradores do sistema sejam éticos para garantir que a confidencialidade da informação sensível seja fornecida de acordo com os requerimentos estabelecidos pelo dono do sistema.


Requerimentos crRequerimentos crííticos para controle de operaticos para controle de operaççõesões

Proteção de recursos – Tem como objetivo proteger os recursos computacionais da empresa contra perda ou comprometimento.

Controle de entidades privilegiadas – Usuários em uma rede possuem níveis de acesso que os permitem executar seus trabalhos. Um acesso é privilegiado quando permite a um funcionário modificar controles de acesso, logs e detecção de incidentes.

Controles de Hardware – Apesar de os objetivos de segurança quase sempre serem encarados como um problema de segurança física e lógica, o Hardware pode ser atacado diretamente. Por exemplo, uma conexão indevida a um elemento de rede pode expor dados a acesso não autorizado. Além disto , um sistema tem que incorporar mecanismos que o permitam permanecer em um estado seguro mesmo quando falhas aconteçam.

“The Standard for Good Pratice for Information Security”: conjunto de procedimentos orientados a negócio para garantir níveis de segurança da informação em empresas. Disponível para download em www.securityforum.org

TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Ambiente de proteAmbiente de proteçção da informaão da informaççãoão


O Ambiente a ser protegidoO Ambiente a ser protegido

O Ambiente inclui todos os recursos computacionais da organização:

Hardware

Software

Operações

Dados e Mídia

Equipamentos de telecomunicações

Sistemas de suporte

Pessoal


HardwareHardware

Hardware = computadores e periféricos

Ameaças mais comuns:– Acesso não autorizado a dados

– Uso não autorizado de recursos do computador

– Ataques de Denial Of Service (DOS)

– Falhas no equipamento

– Excesso de privilégios para operadores e administradores que

permitem execução de funções maléficas ao sistema


SoftwareSoftware

Software se refere aos componentes do sistema operacional e aplicações que

dizem aos computadores o que fazer

O Sistema operacional inclui os utilitários, bibliotecas, tabelas de

endereçamento, logs de sistema, trilhas de auditoria e serviços de

segurança

Todos estes componentes estão sujeitos a abuso e tem que ser protegidos

não apenas de ataques externos, mas também de mau uso interno

Controles devem ser estabelecidos para prevenir acesso indevido, corrupção

ou destruição destes componentes

Procedimentos de gerenciamento de arquivos devem ser implementadas


Software (cont.)Software (cont.)

Ameaças:– Buffer Overflow: existente em software mau testado enquanto estava

sendo desenvolvido

– Backdoors e trapdoors: mecanismos escondidos em software que

permitem acesso ao sistema sem passar pela seção de controle de

acesso dos programas.

– “Maintenance hook”: instruções especiais no software (normalmente não

documentadas) para permitir fácil manutenção.

– Manipulação de software de segurança para alterar privilégios ou

controles de sistema, realocar recursos, paralisar o sistema, etc.


OperaOperaççõesões

Este recurso se refere ao pessoal que gerencia os datacenters e salas de servidores e que tem potencial para afetar o processamento diário das informações

Ameaças:– Modificação do endereço de dispositivos e redirecionamento de I/O– Seqüestro (hijacking) do endereço de rede de um servidor para capturar o

tráfego de entrada ou saída deste servidor– Restart de um servidor a partir de fita, CD ou disquete, ignorando a segurança

do sistema operacional e permitindo acesso não autorizado ao sistema e arquivos

– Redirecionamento da impressão de dados sensíveis– Roubo de um arquivo de senhas de um servidor – Em casos de falha no sistema, controles tem que ser preparados para garantir

que o sistema não esteja vulnerável durante seu processo de recuperação


Dados e MDados e Míídiadia

Dados: arquivos sensíveis, programas, Logs de sistema, trilhas de auditoria, relatórios confidenciais, arquivos de backup, etc.

Mídia: onde os dados são armazenados ou dispostos. Incluem o papel, microfilme, dispositivos magnéticos (HDs), CDs, Fitas, Cartuchos, Pen Drives,etc.

Mídias precisam ser protegidas de acesso não autorizado e possuir mecanismos que garantam sua integridade e disponibilidade

Mídias velhas devem ser destruídas física e logicamente através de ferramentas e procedimentos adequados, para evitar dumpster diving (análise do lixo)

Mídias a serem realocadas dentro da empresa devem antes ser formatadas com procedimentos especiais


Equipamentos de TelecomunicaEquipamentos de Telecomunicaççõesões

Placas de rede, roteadores, switches, firewalls, cabos, telefones, celulares, etc..

Estes equipamentos devem ser protegidos no mesmo nível que os outros equipamentos da empresa

Normalmente esta proteção se dá instalando estes equipamentos em áreas restritas e com controle de acesso físico


Sistemas de SuporteSistemas de Suporte

Neste item são incluídos itens de infra-estrutura como a construção do CPD, aquecimento/ventilação/ar-condicionado (HVAC), refrigeração para manter uma temperatura adequada ao funcionamento dos equipamentos, proteção contra fogo e umidade.

Todos estes itens precisam de segurança física para garantir a continuidade das operações


PessoalPessoal

As pessoas são o elo mais fraco da cadeia de segurança

A segurança de pessoal: garantir que os funcionários são confiáveis para realizar com segurança das tarefas a eles atribuídas

Funcionários não devem tirar vantagens de seus privilégios para obter acesso a informações que eles não precisem/devam conhecer

Devem existir supervisores competentes para garantir a compatibilidade com políticas, padrões e procedimentos

Dependendo do tipo de organização, os funcionários podem ser submetidos a agências de segurança do governo ou de empresas particulares de investigação


Pessoal Pessoal –– Cont.Cont.

Os privilégios abaixo, comuns a operadores e administradores de sistemas, criam problemas de segurança quando usados com abuso:

– Alteração de privilégios em contas de usuários ou controles– Alteração de itens de proteção ou parâmetros que possam afetar outros funcionários– Realocação de recursos computacionais– Controle sobre a alocação e compartilhamento de recursos de sistema e dados (ex:

memória, espaço em disco, ciclos de CPU, etc.)

Exemplo de fraude: funcionários de um banco que possuem privilégio para consertar transações de pagamentos relacionadas pelo sistema como “erradas” podem alterar os dados de uma transação inválida em favor de uma conta de depósito válida de um amigo e mandar reprocessar a operação.


Pessoal Pessoal –– Cont.Cont.

Outras ameaças:– Uso dos recursos e computadores da empresa para tarefas particulares

– Engenharia social

– Violações de privacidade de arquivos

– Alteração de arquivos de LOG para esconder atividades não autorizadas

– Violações da política de segurança da empresa com o uso de acesso irrestrito a determinados computadores

– Excesso de privilégios para funcionários com tarefas secundárias

Algumas empresas resolvem este problema através da separação de tarefas e privilégios entre os funcionários


Estabelecimento de Controles


Empresa sem polEmpresa sem políítica de segurantica de segurançça...a...


Tipos de controlesTipos de controles

• Diretivos

• Preventivos

• Investigativos

• Corretivos

• Controles de Recuperação


Controles de HardwareControles de Hardware

Proteção física do equipamento.

Devem ser usados filtros de linha e UPSs para garantir a alimentação dos equipamentos.

Para garantir a integridade, modificações no hardware e todo tipo de manutenção devem possuir LOGs para futura referência.

Controle de conexões não autorizadas:O Cabeamento da rede deve ser protegido por calhas e não ser facilmente acessível por indivíduos não autorizados.

Ferramentas anti-sniffer devem ser instaladas na rede.

Recomenda-se criptografar todos os dados trafegados na rede.

Instalar switches na rede para impedir a passagem de dados em broadcast para todos os nós da rede.

Em caso de problemas de hardware, uma rotina deve ser estabelecida para classificação de acordo com sua severidade e urgência.


Controles de SoftwareControles de Software

Os seguintes privilégios devem ser restringidos ou monitorados:

– Alteração dos privilégios do computador ou de seus controles.

– Alteração de diretivas de proteção ou parâmetros que possam afetar outros usuários.

– Alocação de recursos.

– Paralisação do sistema de computação.

– Controle da alocação ou compartilhamento de sistemas e recursos (ex.: memória, espaço em disco, ciclos de CPU, etc..)

Para controlar estouros de buffer (buffer overflow), os programadores devem testar e diretamente contornar limitações de memória que possam ser exploradas por intrusos.


Controles de Software (cont.)Controles de Software (cont.)

As empresas devem garantir políticas para coibir a utilização de software pirata. Todo software adquirido deve ser examinado para verificar a existência de códigos maliciosos (malicious code).

Cheque software contra backdoors e trapdoors. Isto é fácil de falar mas difícil de fazer, principalmente quando os softwares fornecidos não vem com o código fonte.

Todas as cópias de dicionários, programas, módulos e documentação, incluindo testes e resultados devem estar sob o controle de uma biblioteca.


Controles de OperaControles de Operaççõesões

Para manter o controle de operações, tanto em um datacenter quanto em um ambiente de rede, é preciso estabelecer, documentar e reforçar procedimentos operacionais para todos os equipamentos e software.

Procedimentos operacionais devem ser criados para o startup do sistema, condições de erro e como gerenciá-las, shutdown do sistema e como restaurar o sistema a partir de mídia de backup.

“Falha segura” (fail secure): falha ocorre em um estado onde a segurança do sistema é preservada.

Um elemento chave para a recuperação de sistemas é ter backupsatualizados de todos os arquivos de sistema. Para garantir esta disponibilidade é necessário ter uma rotina de backups regulares implementada na empresa (horários/diários/semanais/mensais, dependendo das necessidades da empresa).


Controles de dados e mControles de dados e míídiadia

Backups:– Full Volume é quando o sistema inteiro é copiado– Full Backup é quando todo o conteúdo do dispositivo de armazenamento é copiado. – Backups diferenciais copiam todos os dados que foram alterados desde uma data

específica– Backup incremental copia todos os dados que foram alterados desde o último

backup. – Backups de bancos de dados

Fitas de backup tendem a se deteriorar com o tempo, então elas devem ser lidas periodicamente se elas são usadas para armazenamento de longo prazo e restauradas caso sejam críticas e apresentem sinais de deterioração.

Mudanças tecnológicas podem inibir a leitura de fitas arquivadas devem ser restauradas caso a tecnologia mude.


Controles de dados e mControles de dados e míídia (cont.)dia (cont.)

Guarda eletrônica - consiste em 3 tipos:

Guarda em Fitas online;

Journaling de transações remotas:

Espelhamento de banco de dados:

DASDs (Dispositivos de Armazenamento de Acesso Direto)

Tolerância a falhas: continuidade das operações no evento de falha no equipamento.

Espelhamento de dados na rede (RAID): conjunto de discos rígidos, conhecido como disk array, que opera como uma unidade de armazenamento.

Equipamentos e conexões de rede redundantes: usados para evitar problemas de disponibilidade resultantes de um ponto único de falha.


Boas prBoas prááticas para seguranticas para segurançça de dados e ma de dados e míídiadia

• Armazene todas as mídias de forma segura;• Criptografe os dados sensíveis;• Controle e etiquete todas as mídias;• Treine os usuários;• Estabeleça procedimentos e treinamentos para transporte de mídia;• Use uma biblioteca/bibliotecário de mídias;• Estabeleça controles para destruição de mídias;• Estabeleça controles para reutilização de mídias;• Controle o acesso às mídias;• Classifique os dados armazenados;• Estabeleça controles de entrada e saída de dados;


Controles de Equipamentos de TelecomunicaControles de Equipamentos de Telecomunicaççõesões

As boas práticas de segurança para equipamentos de telecomunicações incluem:

Equipamentos de comunicação devem ser monitorados com relação a erros, inconsistências, etc.

Testes de penetração devem ser feitos para garantir que os controles de comunicações não possam ser facilmente comprometidos.

Os dados confidenciais da empresa – senhas e outras informações sensíveis – que forem transmitidos eletronicamente, devem ser criptografados.


Controles de Equipamentos de TelecomunicaControles de Equipamentos de Telecomunicaçções (cont.)ões (cont.)

Sistemas de manutenção remota de equipamentos devem ser monitorados e não devem ficar permanentemente disponíveis, sendo ativados somente nos momentos de uso.

O uso de equipamentos para testes em comunicações, utilitários em software para monitoramento de transmissões (sniffers) e outros similares deve ser proibido pela política de segurança da empresa e sódeve ser autorizado em casos extremos para o pessoal responsável.

Todos os equipamentos de comunicações como roteadores, switches, HUBs e outros, devem estar localizados em ambientes seguros e com acesso restrito.


Controle de Sistemas de SuporteControle de Sistemas de Suporte

A Manutenção do ambiente de um datacenter é a chave para garantir a disponibilidade e a continuidade de um sistema de informação.

Deve-se manter os níveis de temperatura e umidade do ambiente em níveis apropriados e manter a qualidade do ar e ventilação em níveis que impeçam a contaminação do ar.

Procedimentos para a instalação, monitoramento e manutenção dos equipamentos, cabeamento e energia devem estar sempre de acordo com as recomendações de seus fabricantes


Controles de Controles de ÁÁreas Freas Fíísicassicas

Os equipamentos para processamento de dados devem estar localizados dentro de uma sala protegida contra incêndios, alagamentos, agentes corrosivos, fumaça e outros perigos potenciais vindos de áreas adjacentes como explosões e acesso de pessoas não autorizadas.

O acesso a esta sala deve incluir o uso de um pedido de acesso (para garantir que somente pessoas especificamente autorizadas possam ter acesso permitido) e um log da visita de convidados (para garantir que haja um registro de quem autorizou a entrada da pessoa).

Além disso, sempre deverá haver alguém da empresa acompanhando a visita para garantir que nenhum equipamento possa ter sido tocado de maneira não autorizada.

Quando fitas ou discos são trazidos ou retirados da sala restrita, eles devem ser registrados para garantir a sua contabilização. Um sistema de inventário que mostre quais usuários devem ter acesso a quais equipamentos deve ser mantido ativo na empresa.


Controles de PessoalControles de Pessoal

O controle de pessoal deve começar no momento da contratação, quando énecessário realizar verificações para garantir ao máximo a confiabilidade da pessoa que está sendo contratada.

Seguindo o procedimento de contratação, a supervisão do treinamento inicial para o trabalho e treinamentos específicos sobre a política de segurança da empresa devem ser realizados.

Separação de responsabilidadesNormalmente os administradores da rede possuem controle e privilégios sobre

toda a rede, o que é um fator de extremo risco para uma empresa.O conceito de separação objetiva prevenir que um indivíduo tenha controle sobre

todos os passos da operação e com isto possa manipulá-la em benefício próprio.

Com uma efetiva separação de responsabilidades, o uso fraudulento de sistemas somente será possível caso haja a cumplicidade de várias pessoas na empresa.

Eventualmente esta cumplicidade poderá ser rompida por uma rotação de responsabilidades, onde as atividades fraudulentas acabam sendo descobertas pelo novo ocupante da posição.


Mecanismos de controle e verificação


Mecanismos de controle e verificaMecanismos de controle e verificaççãoão

Existem diversos mecanismos para verificar se os controles de segurança estão sendo efetivos. São eles:

Gerência de configuração (GC)Gerência de contigênciaPlano de continuidade de operações (COOP)Planejamento de backupsGerência de alterações de controlesSistemas de detecção de intrusos (IDS)Relatórios de auditoria e eventos de sistemaTestes de penetração (Pen Tests)


Gerência de configuraGerência de configuraçção (GC)ão (GC)

• Mudanças durante o desenvolvimento são inevitáveis; o entendimento dos usuários sobre suas necessidades muda, o ambiente no qual o sistema vai operar muda, a legislação muda, os requisitos mudam.

• Gerência de Configuração (GC) é um conjunto de atividades de apoio ao desenvolvimento que permite que as mudanças inerentes ao desenvolvimento sejam absorvidas pelo projeto de maneira controlada, mantendo a estabilidade na evolução do software e na segurança da solução.

• A GC responde às seguintes questões básicas, que depois são desmembradas em outras questões mais específicas:

• Quais mudanças aconteceram no sistema?

• Por que essas mudanças aconteceram?

• O sistema continua íntegro e seguro mesmo depois das mudanças?


Gerência de contingênciaGerência de contingência

A Gerência de contingência está relacionada ao estabelecimento de ações a serem tomadas antes, durante e depois de ocorrido um incidente de segurança.

Isto inclui procedimentos documentados e testados que visam garantir a disponibilidade de serviços críticos e a manutenção da continuidade das operações.


Plano de continuidade de operaPlano de continuidade de operaçções (COOP)ões (COOP)

O COOP é um documento que descreve os procedimentos e funções básicas para passar as operações básicas de uma empresa para um local alternativo em no máximo 30 dias.

Os objetivos de um COOP são:Garantir a continuidade das funções essenciais da empresa durante uma emergência ou incidente de segurança

Garantir a segurança dos funcionários da empresa

Proteger equipamentos essenciais, LOGs e outros bens

Reduzir a parada nas operações

Minimizar perdas e danos

Identificar locais para realocação e garantir que requerimentos operacionais e gerenciais foram atingidos após a mudança


Planejamento de Planejamento de backupsbackups

O Planejamento de Backups é o processo de documentar como a empresa conduzirá os backups.

O Primeiro passo na criação de um plano de backups é determinar quais dados precisam ser salvos, onde estão localizados, e o quanto estes dados são alterados no dia a dia.

O Próximo passo é determinar qual software, hardware e mídia para o backup serão necessários, considerando o planejamento de crescimento da empresa (aquisição de novos servidores, etc.). O Tipo de backup a ser usado (full, incremental, etc.) deve ser documentado, assim como sua freqüência.

O Plano também deve incluir onde as mídias de backup serão armazenadas e por quanto tempo.

Outro importante aspecto do plano é prover treinamento para os empregados que executarão o plano.

O passo final é testar o plano – é possível recuperar documentos em um tempo aceitável e de maneira consistente?


Gerência de alteraGerência de alteraçções de controlesões de controles

Uma empresa está sempre em contínua mudança e os sistemas mudam de uma maneira regular.

Enquanto algumas mudanças podem ter impacto em custo e tempo, outras podem não ter nenhum impacto.

Por exemplo, suponha que uma empresa decida mudar um departamento de um prédio para outro. A mudança implica em um processo de aprovações seránecessário e que as mudanças deverão ser detalhadas e entregues a quem irá implementá-las.


Gerência de alteraGerência de alteraçções de controles (cont.)ões de controles (cont.)

Pensando especificamente nas alterações em que ocorrem em sistema de informação, os objetivos de um plano de gerência de alterações devem ser:

Garantir alterações de maneira ordenada;

Informar a alteração à comunidade computacional;

Analisar as mudanças;

Reduzir o impacto das mudanças nos serviços;

Planejar a introdução de uma alteração;

Catalogar a alteração;

Agendar a alteração;

Implementar a alteração;Reportar as alterações feitas à gerência;


Sistemas de detecSistemas de detecçção de intrusos (IDS)ão de intrusos (IDS)

Um sistema de detecção de intrusão (IDS -- Intrusion DetectionSystem) é um programa, ou um conjunto de programas, cuja função é detectar atividades maliciosas ou anômalas.

IDSs podem ser instalados de modo a monitorar as atividades relativas a um computador ou a uma rede.

O IDS opera em background no sistema e envia mensagens de alertas quando ele percebe algo suspeito.

As técnicas de detecção de intrusos se baseiam na identificação e isolamento de computadores sob tentativas de invasão através da análise de LOGs e outras trilhas de auditoria.

Um IDS é baseado na idéia que um invasor pode ser identificado através da análise de vários elementos como tráfego de rede, pacotes de dados, utilização de CPU, utilização de I/O e atividades em arquivos.


RelatRelatóórios de auditoria e eventos de sistemarios de auditoria e eventos de sistema

Os dados de auditoria são a base para as análises dos IDSs.Embora seja possível analisar manualmente cada registro de atividade,

a vastidão dos dados de LOGs é tão grande que torna a análise manual impraticável.

Para resolver este problema, IDSs podem fornecer esta análise jápronta. Eles analisam os registros de auditoria atuais relativos às atividades dos usuários e os comparam com perfis de atividade esperados a fim de detectar se alguma atividade intrusa estáocorrendo.

Mecanismos de monitoramento e auditoria, ferramentas e utilitários permitem a identificação de eventos relacionados a segurança e as ações a serem tomadas para o tratamento dos problemas detectados.


AnAnáálise de trilhas de auditoria (LOG)lise de trilhas de auditoria (LOG)

Uma análise de trilhas de auditoria deve procurar detectar as seguintes ocorrências:

Estão sendo cometidos erros repetitivos? Isto pode ser um sinal de implementações mau feitas ou usuários mau treinados?

Os usuários estão acessando sistemas aos quais não tem necessidade? Isto pode ser uma indicação de uma implementação de controle de acesso mau feita?

Poucas pessoas têm muitos direitos de atualizações? Isto pode ser um resultado de desenvolvimento inadequado de sistemas ou atribuição de privilégios?


Testes de penetraTestes de penetraçção (ão (PenPen TestsTests))

Teste de penetração é o processo de simulação de um ataque a um sistema de informação a pedido de seu dono, ou pelo menos com a permissão dele.

Um time de penetração é um grupo organizado de pessoas que tentam burlar a segurança e invadir um sistema de informação.

O objetivo é testar a segurança do sistema e encontrar vulnerabilidades ou brechas de segurança nas medidas implementadas pela empresa.


Gerenciamento de Incidentes


IdentificaIdentificaçção de riscos de seguranão de riscos de seguranççaa


Lista de verificaLista de verificaçção de resposta a incidentesão de resposta a incidentes


Contendo os efeitos de um ataqueContendo os efeitos de um ataque

Quando um sistema é atacado, ele deve ser desligado e removido da rede. Os outros sistemas na rede devem estar protegidos.

Os servidores afetados devem ser mantidos e analisados e as descobertas devem ser documentadas.

Pode ser muito difícil atender aos padrões legais para preservação de evidência e ainda ser capaz de seguir em frente com os negócios diários. Um plano detalhado para preservação da evidência que atenda aos requisitos legais na sua jurisdição deve ser desenvolvido junto com os advogados da empresa de forma que um exista um plano quando a rede for atacada.


CenCenáários de Ataquesrios de Ataques

Neste tópico abordaremos os cenários de ataque e as contramedidas mais adequadas.

Especificamente, discutiremos estes cenários:

Um worm que ataque a porta 135 do UDP

Um worm de email

Um ataque que infecta um computador antes que patches ou correções sejam aplicados


WormWorm atacando porta 135 UDPatacando porta 135 UDP

Perímetro

Firewall de rede deve bloquear esse processo desde o início

Rede

Examine ou detecte sistemas vulneráveis

Desative os usos da rede para hosts vulneráveis

Use a Quarentena do RRAS para garantir que os hosts de discagem receberam os patches adequados

Host

Use o IPSec para permitir o UDP 135 de entrada somente em hostsque necessitam de RPC

O firewall do Windows para bloquear tráfego de entrada não desejado para hosts (Windows XP e superior)


WormWorm de de emailemail

PerímetroExamine todos os anexos no gateway SMTPRedeUse a Quarentena do RRAS para verificar o nível do patch e as

assinaturas de vírusAplicativoOffice 2000: Verifique se pelo menos o Service Pack 2 está instaladoOffice XP e Office 2003: A configuração de zona de segurança padrão

é Sites Restritos (em vez da Internet) e o script ativo em sites restritos também é desabilitado por padrão

UsuáriosEnsine aos usuários que os anexos podem ser mal-intencionados.Se receber um anexo que não solicitou, escreva para o autor para

confirmar que ele queria mesmo enviá-lo antes de abrir o anexo


Invasão hackerInvasão hacker

PerímetroHabilite o firewallRedeDesconecte o cabo de redeHostInicie o sistema e faça logonCredenciais administrativas locais podem ser necessárias se as

credenciais em cache estiverem desabilitadas.Ative o firewall do Windows para bloquear todo o tráfego de entradaReconecte o cabo de redeBaixe e instale o patchReinicializeDesative o firewall do Windows de acordo com a diretiva


Lista de VerificaLista de Verificaçção de Seguranão de Seguranççaa

A segurança inicia com educação e instrução. Não dê chances ou permita que as pessoas tomem suas

próprias decisões. Documente tudo e crie procedimentos e processos para

todas as funções de negócios. Sempre que os usuários precisarem fazer algo, eles devem ter um documento disponível que contenha instruções detalhadas.

Compreenda como pode ser atacado. Familiarize-se com ferramentas e vírus de hackers. Investigue onde os ataques acontecem e como.

A pesquisa CSI/FBI Computer Crime and Security Surveypode ser um bom começo.


Implantação de CSIRTS


CSIRTCSIRT

CSIRT = Computer Security and Incident Response Team

em português, Grupo de Resposta a Incidentes de Segurança da Informação

Um grupo ou organização que provê serviços e suporte para um público bem definido, para prevenção, tratamento e resposta a incidentes de segurança

Ponto central de contato

Provê informações para o seu público

Troca informações com outros CSIRTs


Papel do CSIRTPapel do CSIRT

Coordenar açõesDeterminar o impactoProver recuperação rápidaPreservar evidênciasProver recomendações e estratégiasSer o ponto de contato com outros grupos, polícia, mídia,

etc


FunFunçções de um CSIRTões de um CSIRT

Tratamento de Incidentes

Detecção e rastreamento de Invasões

Definição de Políticas

Auditoria

Análise de Riscos


PreparaPreparaçção de CSIRTSão de CSIRTS

Todas as companhias devem ter a capacidade de tratar eficazmente o que podem considerar um incidente

Os objetivos de uma equipe bem preparada de resposta a incidentessão detectar rupturas potenciais da segurança da informação e fornecer meios eficazes e eficientes para tratar a situação em umamaneira que reduza o impacto potencial à empresa

Um objetivo secundário mas muito importante seria fornecer a gerênciacom a informação suficiente para decidir-se em um curso de açãoapropriado

Um CSIRT deve ser formado por indivíduos conhecidos das áreaschaves da corporação que seriam treinados e preparados pararesponder aos ataques de Engenharia Social


ImplantaImplantaçção de um CSIRTão de um CSIRT

• Plano de ação

• Definir uma equipe/coordenador

• Envolver todas as partes da instituição

• Definir os serviços a serem prestados

• Definir o nível de autoridade

• Inserir o CSIRT na estrutura organizacional


ImplantaImplantaçção de um CSIRTão de um CSIRT

Contratação de pessoal

Pré-requisitos essenciaisRetidão de caráter

Não ter prévio envolvimento com atividades de hacking

Conhecimentos em TCP/IP e no ambiente de TI da empresa


Fatores de sucesso de um CSIRTFatores de sucesso de um CSIRT

• Credibilidade

• Confiança

• Localização dentro da instituição

• Capacidade Técnica

• Capacidade de cooperação com outros grupos


CSIRTS ExistentesCSIRTS Existentes

• Empresas• Países• Backbones• Órgãos Governamentais


CSIRTS em EmpresasCSIRTS em Empresas

A Lista completa pode ser encontrada no site do FIRST (http://www.first.org/members/teams/). Alguns exemplos abaixo:

VISA: VISA-CIRT

Bank of America: BACIRT

Cisco: CISCO PSIRT

Citigroup: Citigroup CIRT

Banco do Brasil: CSIRT Banco do Brasil

Bradesco: CSIRT Bradesco


CSIRTS em PaCSIRTS em Paíísesses

Brasil: Cert.br (http://www.cert.br/)

Austrália: AusCERT (http://www.auscert.org.au/)

EUA: CERT/CC (http://www.cert.org/)

Alemanha: DFN-CERT (http://www.cert.dfn.de/)


CSIRTsCSIRTs em em BackbonesBackbones

British Telecom: BTCERTCCTeleDanmark: CSIRT.DKEmbratel: Grupo de Segurança da EmbratelUnicamp: Grupo de Segurança da UNICAMPRNP: CAIS


CSIRTS em CSIRTS em ÓÓrgãos Governamentaisrgãos Governamentais

US Department of Energy: CIACNASA: NASIRCUS Dept. of Navy: NAVCIRTFrench government offices and services: CERTA


CGI.CGI.brbr -- Comitê Gestor da InternetComitê Gestor da Internet

Criado por portaria interministerial MCT/MC 147, de 31 de maio de 1995.

Recomendar padrões e procedimentos técnicos eoperacionais para a Internet no Brasil;Coordenar a atribuição de endereços Internet, o registro de

nomes de domínios, e a interconexão de backbones;Coletar, organizar e disseminar informações sobre os

serviços Internet.

http://www.cgi.org.br/sobre-cg/historia.htm


CSIRTS no BrasilCSIRTS no Brasil


Treinamentos em CSIRTSTreinamentos em CSIRTS

AusCERT - http://www.auscert.org.au/render.html?cid=1934

CERT/CC - http://www.cert.org/csirts/

SANS Institute - http://www.sans.org

Cert.br - http://www.cert.br/cursos/


ConclusãoConclusão

• É impossível zerar a possibilidade de falhas operacionais, sejam elas intencionais ou não

• As empresas devem implementar controles que visem detectar, recuperar e catalogar as falhas ocorridas

• Devem ser criados procedimentos para garantir a continuidade do negócio da empresa, mesmo após a ocorrência de desastres


ReferênciasReferências

• Livro “Official (ISC)2 Guide to the CISSP Exam”Autores: Susan Hansche, John Berti & Chris HareEditora: Auerbach

• Livro “Engenharia Social e Segurança da Informação”Autor: Mauro César Pintaudi PeixotoEditora: Brasport, 2006


Referências na InternetReferências na Internet

• Cartilha de Segurança – Site Cert.brhttp://cartilha.cert.br/fraudes/sec2.html#sec2

• HOEPERS, Cristine. Apresentação “Grupos de Resposta a Incidentes de Segurança em Computadores (CSIRTs): Atuação e Cenário Atual”. Disponível em http://www.cert.br/docs/palestras/nbso-cgsi2004.pdf . Acesso em 31 de Outubro de 2006 às 16:11h.


Participe do nosso fParticipe do nosso fóórum de seguranrum de seguranççaa

Acesse www.tisafe.com/forum e cadastre-se


ContatoContato

Palestra - Segurança de Operações

Technology

Transcript of Palestra - Segurança de Operações